読者です 読者をやめる 読者になる 読者になる

rom-0攻撃

さて、私がハニーポットdionaeaを公開してから一番槍で来た、rom-0攻撃について書きたいと思います。

まず、ログをご覧ください。

*一部情報を伏せています

stream = [('in', b'GET /rom-0 HTTP/1.1\x0d\x0aHost: IPアドレス\x0d\x0aUser-Agent: Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)\x0d\x0aConnection: close\x0d\x0a\x0d\x0a'),
('out', b'HTTP/1.0 404 Not Found\x0d\x0aContent-type: text/html; 
以下略

Googlebot*1のふりをして(User-Agentは偽装可能)、GETメソッドに rom-0 と入力しています。

rom-0とは

ZyXELという企業の、ZyNOSというOSを搭載したルータが持つ設定ファイルのこと。どうやらパスワードなど大事な設定が保存されている模様・・・。 アドレスバーにルータIPアドレス/rom-0と入力しただけで誰でも設定ファイルが取得できてしまうというとても恐ろしいものです。そのままでは読めませんが、どうやらデコードツールがあるらしく・・・。 簡単に、攻撃者にルータがいじられてしまいます。 詳しい手法は以下の動画に。

当然ですが悪用厳禁!!!!!!

www.youtube.com

日本にはないルータなので、基本的にはみなさんには影響のない攻撃でしょう。怖い!という場合には脆弱性がないかテストするサイトもあります。

rom-0 test

それにしても、簡単に抜かれてしまうとは、本当に恐ろしい・・・。

ほか参考サイト

How I saved your a** from the ZynOS (rom-0) attack !! ( Full disclosure ) | Root@Nasro

*1:Googleのウェブクロール用ロボット、つまり検索のIndex作成bot